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i Die erfindungsgemaSe Losung betrifft ein Sicherheitssy- 
stem, das eine eindeutige Identifizierung und Authentisie- 
rung von Kommunikationspartnem ermoglicht und somit die 
notwendige Sicherheit fur den Austausch von vertraulichen 
Informationen gewahtieistet. 

Voraussetzung ist, daS alle Kommunikationspartner mit 
einem individuellen Stcherheitsmodul ausgestattet sind und 
uber sicherheitstechnische Einrichtungen STE verfugen. Der 
Verbindungsaufbau wird von den STE ubernommen. Dabei 
wird gepruft, ob beim Kommunikationspartner ebenfalls eine 
aktivierte STE vorhanden ist. Mit dieser STE wird ein 
Informationsaustausch und ein Authentikations- und Schlus- 
selaustauschprotokoll vorgenommen, Danach erfolgt eine 
personliche Authentizierung und die Betriebsartentschei- 
dung einschlieBlich evtl. erforderlicher Schlusselvereinba- 
rung. 

Mittels der erfindungsgemaSen Losung werden sowohl die 
Sicherheit der Kommunikationspartner als auch die Sicher- 
heit des Kartenterminals in die Prufung auf Informationssi- 
cherheit einbezogen. 
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Beschreibung 

Die Erfindung betrifft ein Sicherheitssystem zum 
Identifizieren und Authentisieren von Kommunika- 
tionspartnern der im Oberbegriff des Patentanspruch 1 5 
naher definierten Art, welche die Informationssicherheit 
mit Sicherheitsmechanismen von hoher Wirksamkeit 
erreicht Sie schutzt insbesondere gegen die Bedrohun- 
gen: 

10 

— Verlust der Vertraulichkeit (Schutz vor unbefug- 
ter Preisgabe von Informationen) 

— Verlust der Integritat (Schutz vor unbefugter 
Anderung von Informationen) 

— Verlust der Anonymitat (Schutz vor unbefugter 15 
Preisgabe der Identitat). 

ZusStzIich bietet ein Kommunikationssystem, das mit 
diesen Einrichtungen ausgestattet ist, die Moglichkeit, 
daB der Zugriff auf Computersysteme, die in diesem 20 
Kommunikationsnetz betrieben werden, gesichert wird 

Bestehende Kommunikationsinfrastrukturen verfG- 
gen im allgemeinen nicht uber ausreichende Mechanis- 
men, daB Konununikationspartner sich gegenseitig ein- 
deutig identifizieren und authentisieren konnen, um an- 25 
schlieBend und vertraulich Informationen auszutau- 
schen. Erst durch erhebliche Eingriffe in die benutzten 
Kornmunikationssysteme kdnnen die Partner nach vor- 
herigen Verabredungen notwendiger Parameter die 
Prozesse aktivieren, die z.B. durch kryptographische 30 
Verfahren, einen vertrauenswurdigeren Informations- 
austausch gestatten und in der Regel noch zusatzliche 
MaBnahmen notwendig machen. Geeignete kryptogra- 
phische Verfahren gestatten grundsatzlich eine vertrau- 
liche Kommunikation. 35 

Durch den Einsatz von geeigneten Sicherheitsmodu- 
len (wie z. B. Chipkarten) ist eine Identifikation von Be- 
nutzern auf eine hochst vertrauenswurdige Weise mog- 
lich. 

Geeignete Chipkarten lassen den Zugriff auf interne 40 
Funktionen und Daten nur dann zu, wenn sich ein Be- 
nutzer gegenuber der Chipkarte durch ein Merkmal 
oder Geheimnis (persdnliche Geheimzahl, Fingerprint, 
eta) eindeutig identifiziert. Fur die Identifikation des 
Benutzers gegenuber der Chipkarte muB ein Kartenter- 45 
minal verwendet werden. Auch die Sicherheit des Kar- 
tenterminals muB in die Betrachtung der Informations- 
sicherheit einbezogen werden. Das Kartenterminal hat 
sich deshalb ebenfalls gegenuber der Chipkarte des Be- 
nutzers eindeutig zu identifizierea 50 

Mit der vorliegenden Erfindung soil ein vom Kommu- 
nikationssystem unabhangiges Sicherheitssystem ge- 
schaffen werden, das die Identifikation von Benutzern 
mit einer Chipkarte bei Einsatz eines Chipkartentermi- 
nab mit der gegenseitigen Authentikation von Benut- 55 
zern, dem Parameteraustausch fur den Einsatz krypto- 
graphische r Verfahren und deren Anwendung fur den 
vertraulichen Informationsaustausch zwischen Kommu- 
nikationspartnern verknupft Dazu soil kein Eingriff in 
die bestehenden Kornmunikationssysteme notwendig 60 
sein. 

Diese Aufgabe wird erfindungsgemaB entsprechend 
dem Kennzeichen des Patentanspruchs 1 geldst. 

Vorteilhafte Weiterbildungen der Erfindung sind in 
den Kennzeichen der Patentanspruche 2 bis 8 beschrie- 65 
ben. 

Unter Verwendung eines individuellen und personali- 
sierbaren Sicherheitsmoduls (z. B. einer Chipkarte) und 
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den Sicherheitsfunktionen von sicherheitstechnischen 
Einrichtungen (kurz STE) wird der authentische und 
vertrauliche Informationsaustausch in Kommunika- 
tionssystemen, — hierzu zShlen samtliche Daten- und 
Computernetze im lokalen wie auch im Weitverkehrs- 
betrieb — fur die digitale Obertragung von Daten und 
Sprache gewahrleisteL 

Die sicherheitstechnischen Einrichtungen sind gemaB 
dieser Erfindung in bestehende Kommunikationsinfra- 
strukturen als aktive Komponenten integrierbar und 
konnen zusatzlich einen gesicherten Zugriff auf vorhan- 
dene Informationssysteme gewahrleisten. Fur diese In- 
formationssysteme sollen keine oder nur minimale Er- 
weiterungen oder Konfigurationsanderungen notwen- 
dig werden. 

Wichtiges technisches Merkmal der STE ist, daB Be- 
nutzer sich eindeutig mit Hilfe von personalisierten Si- 
cherheitsmodulen identifizieren und authentisieren 
mussen. Es ist allerdings auch mdglich, daB die Funktio- 
nalitat eines personalisierten Sicherheitsmoduls in die 
STE integriert wird. 

Nachfolgend wird die Erfindung anhand von Ausfuh- 
rungsbeispielen naher erlautert In den zugehdrigen 
Zeichnungen zeigen die: 

Fig. 1 eine Identifikation und Authentisierung der 
personalisierbaren Sicherheitsmodule und der sicher- 
heitstechnischen Endeinrichtungen, 

Ftg. 2 eine Grundstruktur einer systemunabhangigen 
sicherheitstechnischen Endeinrichtung bzw. Security 
Base und die 

Fig. 3 einen Einsatz von STE und Security Base als 
systemunabhangige Sicherheitseinrichtungen Voraus- 
setzung fiir die authentische und vertrauliche Kommu- 
nikation ist, daB alle Kommunikationspartner (Teilneh- 
mer) mit einem individuellen Sicherheitsmodul (Chip- 
karte) ausgestattet sind und Uber eine STE verfugen. 

Will ein Teilnehmer sicher mit einem Partner kommu- 
nizieren, so muB er eirie gultige Chipkarte in die STE 
oder einen Kartenleser der STE einfuhren. Der Teilneh- 
mer muB sich gegenuber der Chipkarte durch Eingabe 
eines personlichen Merkmab (z. R PIN = persOnliche 
Identifikationsnummer) identifizieren. Die Chipkarte 
authentisiert sich mit einem geeigneten Verfahren ge- 
genuber der STE und die STE authentisiert sich gegen- 
uber der Chipkarte, so daB alle Komponenten ihre Au- 
thentizitat beweisen konnen. 

Die hierfOr zum Einsatz kommende Methode kann 
ein sogenanntes "challenge-response" Verfahren sein, 
das mittels eines Chiffrieralgorithmus und eines Ge- 
heimnisses (Schliissel) zwischen den Komponenten eine 
verschlflsselte Zufallszahl austauschen (Authentisie- 
rungsparameter) und dadurch der Gegenseite den Be- 
sitz des Geheimnisses beweis, ohne daB dieses selbst 
preisgegeben werden muB. So kann die Chipkarte eine 
von der STE erhaltene verschlGsselte Zufallszahl dechif- 
frieren und an die STE zunickschicken, womit die Chip- 
karte beweist, daB sie im Besitz eins Geheimnisses ist 
(korrekter EntschlQsseiungsschlussel) und somit ihre 
Authentizitat beweist Die Authentikation der STE ge- 
genuber der Chipkarte lauft analog. 

Aus Sicherheitsgrunden und praktischen Erwagun- 
gen soli die STE, die systemunabhangig ist, weil sie ge- 
maB dieser Erfindung als systemunabhangige Kompo- 
nente in die bestehende Infrastruktur integriert wird, 
mdglichst direkt zwischen der bestehenden Kommuni- 
kationseinrichtung und dem AnschluB dieser an das 
Kommunikationsnetz installiert werden. 

Versucht nun die Kommunikationseinrichtung eine 



DE 44 06 

3 

.Verbindung zu einem Partner aufzubauen, so wird die 
. STE selbstandig aktiv und schaltet sich in den Kommu- 
nikationsfluB ein. Zunachs: versucht die STE Informa- 
■ lionen mit der gegenseitigen STE des Kommunikations- 
partners auszutauschen. 5 

Gelingt dies nicht, (weil die z. B. gegenseitige STE 
nicht aktiviert wurde oder nicht vorhanden ist), so lauft 
die Kommunikation in gewohnter Form ab, wobei die 
STE eine Warnfunktion aktiviert. Diese Warnung an 
den Benutzer kann auf einem Display, durch Signallam- io 
pen, einem Signalton oder ahnlichem ausgefuhrt wer- 
den. 

Wird von der STE eine gegenseitige STE erkannt, so 
wird mit Hilfe eines Authentikations- und Schlusselaus- 
tauschprotokolls ein VerschliisselungsschlQssel (Sit- 15 
zungsschhlssel) fflr ein Chiffrierverfahren zwischen bei- 
den STE ausgehandeit Das fur die Erfindung verwende- 
te Authentikationsprotokoll bietet dabei die sichere ge- 
genseitige Authentikauon der Chipkarten der Kommu- 
nikationspartner, den verwendeten sicherheitstechni- 20 
schen Endeinrichtungen (STE) und ubernimmt den 
Schlusselaustausch. Dazu werden sogenannte "public- 
key" Verfahren eingesetzt 

Diese Verfahren zeichnen sich dadurch aus f daB fur 
die Verschliisselung ein anderer Schlussel als fur die 25 
Entschlusselung verwendet wird. Daher kann einer der 
beiden Schlussel fur eine Verifikation veroffentlicht 
werden. Die Authentizitat der verwendeten offentlichen 
Schlussel wird durch die Prufung einer elektronischen 
Unterschrift eines Zertifikates, das den Teilnehmer- 30 
schlussel inklusive der Teilnehmeridentitat und Zusatz- 
inforrnationen enthalt, gewahrleistet. Dieses Zertifikat 
wird von einer vertrauenswurdigen dritten Instanz her- 
ausgegeben, die auch als Ausgabestelle der verwende- 
ten Sicherheitsrnodule wirken kann. 3s 

Die Identitat des Kommunikationspartners, basie- 
rend auf dem in die STE eingefuhrten Sicherheitsmodul, 
wird der jeweiligen Gegenseite angezeigt, so daB nur 
mit dem Einverstandnis des STE-Benutzers eine Kom- 
munikation mit dem Partner moglich wird. Dazu verfugt 40 
die Erfindung uber eine Eingabefunktion, die entweder 
Ober das angeschlossene Kommunikationsendgerat 
oder direkt an der STE bet&tigt werden kann. 

Nach dem vertrauenswurdigen Schlusselaustausch 
werden die Informationen zwischen den Kommunika- 45 
tionspartnern von STE zu STE mit dem Sitzungsschlus- 
sel chiffriert ubertragen. 

Die Kommunikationspartner, die mi: Chipkarte und 
STE ausgestattet sind, konnen somit ein geschlossenes 
Netz innerhalb einer offenen Kommunikationsinfra- 50 
struktur bilden. 

Die Erfindung kann optimal zusatzlich gemaB der An- 
spruche die Moglichkeit bieten, daB durch eine oder 
mehrere entsprechend erweiterte STE, sogenannte Se- 
curity Basis (SB), Authentifikationsinformationen und 55 
Capabilities an die Kommunikationssysteme (beliebige 
Endeinrichtungen in bestehenden Netzen),nach der Au- 
thentikation ubertragen werden. Mit Hilfe dieser Benut- 
zerkennungen und Capabilities kann ein Kommunika- 
tionssystem die Zugriffsrechte auch von diesen verwal- eo 
teten Objekten regeln. Diese Leistung wird dadurch er- 
bracht, daB die in der SB definierten Benutzerbzw. Teil- 
nehmerkennungen und Capabilities gespeichert und 
nach dem Ablauf der oben beschriebenen Authentika- 
tionsprozedur an das Endgerat ubertragen werden. es 

Die Erfindung sieht vor, daB ein bestehendes Kom- 
munikationssystem mit einem Modul (Security-Damon) 
ausgestattet werden kann, das die Capabilities korrekt 
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entgegen nimmt und einer Systemverwaltung zur Wei- 
terverarbeitung ubergibt. 

Eine SB kann zentrale Sicherheitsmanagementaufga- 
ben in einem Kommunikationsnetz ubernehmen, indem 
sie fur alle Teilnehmer Capabilities verwalteL 

STE und SB verfugen fiber Administrationsschnitt- 
stellen, die einem autorisierten Systemverwalter Zu- 
gang fur Konfigurationsmoglichkeiten gestattet Ober 
eine derartige Schnittstelle konnen auch Zertifikate fur 
Benutzer einschlieBlich offentlicher Schlussel geladen 
werden. STE und SB sind Kommunikationssysteme, de- 
ren Kommunikationsfahigkeit an die jeweiligen System- 
schnittstellen angepaBt werden kann. So konnen spe- 
ziell konfigurierte STE/SB in einem z. B. lokalen Netz- 
werk betrieben werden, wenn die STE/SB fur das ver- 
wendete Kommunikationsprotokoll mit entsprechender 
Schnittstelle ausgeriistet wurde. Die Authentikations- 
und Chiffrierverfahren als zentrale Sicherheitsmecha- 
nismen werden unabhangig von der Systemkonfigu ra- 
tion immer mit gleicher Sicherheit bereitgestellt. 

Die Sicherheitsfunktionen der STE und SB konnen 
auch angeboten werden, wenn nicht ein Sicherheitsmo- 
dul von einem Benutzer verwendet wird, sondern ein 
integraler Bestandteii einer speziellen STE bzw. SB ist 
Die STE und SB wirken dann in einem benutzerlosen 
automatischen Betrieb. Dieser Betriebsmodus wird ei- 
ner Gegenstelle wahrend der Verbindungsaufbauphase 
signalisiert, so daB die Gegenstelle entscheiden kann, ob 
sie den Verbindungswunsch ablehnt oder annimmt 
Auch ist der ausschlieBlich automatische Betrieb zwi- 
schen Kommunikationssystemen moglich. 

Jede STE und SB ist eindeutig von einer dritten In- 
stanz personalisierbar, so daB sie durch das Authentika- 
tionsprotokoll von einer Gegenstelle eindeutig identifi- 
ziert und authentisiert werden kann. 

STE und SB enthalten eine Protokollierungskompo- 
nente, mit der es fur den berechtigten Benutzer moglich 
ist, Ereignisse, wie z. B. berechtigte und unberechtigte 
oder abgelehnte Verbindungsaufbauten, Konfigura- 
tionsanderungen, abgebrochene Obertragungen usw, 
nachtrSglich zu kontrollieren. 

Patentanspruche 

1. Sicherheiissystem zum ldentifizieren und Au- 
thentisieren von Kommunika tionspartnern fur 
Verbindunger. uber Kommunikationsnetze mit di- 
gitaler Obertragung, dadurch gekennzeichnet, 
daB mindestens alien sicherheitsbediirftigen Kom- 
munika tionspartnern, unabhangig vom verwende- 
ten lnformationssystera jeweils an der Schnittstelle 
zwischen der zu sichernden Kommunikationsein- 
richtung und dem Kommunikationsnetz, je eine 
dem Netz angepaBte Sicherheitstechnische Ein- 
richtung (nachfolgend STE) mit Eigenschaften ei- 
ner Endeinrichtung beziehungsweise eine zur Si- 
cherheitsbasis (nachfolgend SB) erweiterte STE, 
ein individueller Sicherheitsmodul und ein personli- 
ches Merkmal zugeordnet werden, daB der Verbin- 
dungsaufbau von der STE bzw. SB ubernommen 
wird und mit einer Prufung verbunden ist, ob beim 
gerufenen Kommunikationspartner ebenfalls eine 
aktivierte STE bzw. SB erreicht wird und mit dieser 
ein Informationsaustausch und ein Authentika- 
tions- und Schiusselaustauschprotokoll vorgenom- 
men werden kann bzw. ob ein Warnsignal zu akti- 
vieren ist, daB erst danach eine personliche Authen- 
tisierung und die Betriebsartenentscheidung ein- 
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schlieBlich evil, erforderlicher Schlusselvereinba- 
rung durchgefuhrt wird 

2. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE bzw. SB fur eine automa- 
tische Kommunikation mit einem Sicherheits-Ma- 5 
nagement Center (nachfolgend SMC) vorgesehen 
sind. 

3. Sicherheitssystem nach Anspmch l t dadurch ge- 
kennzeichnet, daB die STE bzw. SB mit Rechteda- 
teien versehen sind, die Eintrage und evtL Lei- 10 
stungsmerkmale enthalten, wer in welchen Be- 
triebsarten und evtl. mit welchen Partnern kommu- 
nizieren kann. 

4. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE bzw. SB Qber eine Proto- 15 
kollierungskomponente verfiigen, die relevante Er- 
eignisse aufzeichnet und kontrollfahig gestaitet 

5. Sicherheitssystem nach Anspruch 1 bis 4, dadurch 
gekennzeichnet daB die Rechtedateien und Proto- 
kollierungskomponenten teils lokal und teils vom 20 
SMC und teils von beiden Seiten beeinfluBbar sind 
und daB Ereignisse an das SMC gemeldet werden. 

6. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE/SB bzw. SMC fQr ein 
dezentrales bzw. zentrales Sicherheits- und SchlQs- 25 
selmanagement mit gespeicherten Zertifikaten und 
Schlusseln vorgesehen sind. 

7. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE und SB eine digitale Un- 
terschrift, eine Verifizierung von elektronischen 30 
Unterschriften und eine Ver- und EntschlOsselung 
als integrierten Dienst bereitstellen. 

8. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE/SB und SMC mit opti- 
schen bzw. akustischen Signalisierungsmitteln ver- 35 
sehen sind. 
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